ProHoster > Blog > Pentadbiran > ulang tahun ke-30 ketidakamanan yang berleluasa

ulang tahun ke-30 ketidakamanan yang berleluasa

Apabila "topi hitam" - menjadi pengawal hutan liar alam siber - ternyata berjaya terutamanya dalam kerja kotor mereka, media kuning menjerit gembira. Akibatnya, dunia mula melihat keselamatan siber dengan lebih serius. Tetapi malangnya tidak serta-merta. Oleh itu, di sebalik peningkatan bilangan insiden siber bencana, dunia masih belum matang untuk langkah proaktif yang aktif. Walau bagaimanapun, dijangka dalam masa terdekat, terima kasih kepada "topi hitam," dunia akan mula mengambil serius keselamatan siber. [7]

ulang tahun ke-30 ketidakamanan yang berleluasa

Sama seriusnya dengan kebakaran... Bandar pernah sangat terdedah kepada kebakaran besar. Walau bagaimanapun, di sebalik potensi bahaya, langkah perlindungan proaktif tidak diambil - walaupun selepas kebakaran gergasi di Chicago pada tahun 1871, yang meragut ratusan nyawa dan menyebabkan ratusan ribu orang kehilangan tempat tinggal. Langkah perlindungan proaktif hanya diambil selepas bencana serupa berlaku lagi, tiga tahun kemudian. Begitu juga dengan keselamatan siber - dunia tidak akan menyelesaikan masalah ini melainkan terdapat insiden bencana. Tetapi walaupun kejadian seperti itu berlaku, dunia tidak akan menyelesaikan masalah ini dengan segera. [7] Oleh itu, walaupun pepatah: "Sehingga pepijat berlaku, seorang lelaki tidak akan ditampal," tidak cukup berkesan. Itulah sebabnya pada tahun 2018 kita meraikan 30 tahun ketidakamanan yang berleluasa.


Pencerobohan lirik

Permulaan artikel ini, yang pada asalnya saya tulis untuk majalah Pentadbir Sistem, ternyata bersifat nubuatan. Terbitan majalah dengan artikel ini keluar hari demi hari dengan kebakaran tragis di pusat beli-belah Kemerovo "Winter Cherry" (2018, 20 Mac).
ulang tahun ke-30 ketidakamanan yang berleluasa

Pasang Internet dalam masa 30 minit

Pada tahun 1988, galaksi penggodam legenda L0pht, bercakap sepenuhnya sebelum mesyuarat pegawai Barat yang paling berpengaruh, mengisytiharkan: “Peralatan berkomputer anda terdedah kepada serangan siber daripada Internet. Dan perisian, dan perkakasan, dan telekomunikasi. Penjual mereka langsung tidak mengambil berat tentang keadaan ini. Kerana perundangan moden tidak memperuntukkan sebarang liabiliti untuk pendekatan cuai untuk memastikan keselamatan siber perisian dan perkakasan yang dihasilkan. Tanggungjawab untuk kemungkinan kegagalan (sama ada spontan atau disebabkan oleh campur tangan penjenayah siber) terletak sepenuhnya kepada pengguna peralatan. Bagi kerajaan persekutuan, ia tidak mempunyai kemahiran mahupun keinginan untuk menyelesaikan masalah ini. Oleh itu, jika anda mencari keselamatan siber, maka Internet bukanlah tempat untuk mencarinya. Setiap daripada tujuh orang yang duduk di hadapan anda boleh memecahkan Internet sepenuhnya dan, dengan itu, merebut kawalan sepenuhnya ke atas peralatan yang disambungkan kepadanya. Dengan sendiri. 30 minit ketukan kekunci berkoreografi dan ia selesai." [7]

ulang tahun ke-30 ketidakamanan yang berleluasa

Para pegawai mengangguk penuh makna, menjelaskan bahawa mereka memahami keseriusan keadaan, tetapi tidak melakukan apa-apa. Hari ini, tepat 30 tahun selepas persembahan legenda L0pht, dunia masih dibelenggu oleh "ketidakamanan yang berleluasa." Menggodam peralatan berkomputer yang disambungkan ke Internet adalah sangat mudah sehingga Internet, yang pada mulanya merupakan kerajaan saintis dan peminat idealistik, secara beransur-ansur telah diduduki oleh profesional yang paling pragmatik: penipu, penipu, pengintip, pengganas. Kesemua mereka mengeksploitasi kelemahan peralatan berkomputer untuk faedah kewangan atau lain-lain. [7]

Penjual mengabaikan keselamatan siber

Vendor kadangkala, sudah tentu, cuba memperbaiki beberapa kelemahan yang dikenal pasti, tetapi mereka melakukannya dengan berat hati. Kerana keuntungan mereka bukan daripada perlindungan daripada penggodam, tetapi daripada fungsi baharu yang mereka sediakan kepada pengguna. Dengan memberi tumpuan semata-mata pada keuntungan jangka pendek, vendor melabur wang hanya untuk menyelesaikan masalah sebenar, bukan masalah hipotetikal. Keselamatan siber, di mata kebanyakan mereka, adalah perkara hipotesis. [7]

Keselamatan siber ialah perkara yang tidak kelihatan dan tidak ketara. Ia menjadi ketara hanya apabila masalah timbul dengannya. Jika mereka menjaganya dengan baik (mereka menghabiskan banyak wang untuk penyediaannya), dan tidak ada masalah dengannya, pengguna akhir tidak akan mahu membayar lebih untuknya. Di samping itu, sebagai tambahan kepada peningkatan kos kewangan, pelaksanaan langkah perlindungan memerlukan masa pembangunan tambahan, memerlukan mengehadkan keupayaan peralatan, dan membawa kepada penurunan dalam produktivitinya. [8]

Sukar untuk meyakinkan walaupun pemasar kita sendiri tentang kemungkinan kos yang disenaraikan, apatah lagi pengguna akhir. Dan oleh kerana vendor moden hanya berminat dengan keuntungan jualan jangka pendek, mereka sama sekali tidak cenderung untuk mengambil tanggungjawab untuk memastikan keselamatan siber ciptaan mereka. [1] Sebaliknya, vendor yang lebih berhati-hati yang telah menjaga keselamatan siber peralatan mereka berhadapan dengan hakikat bahawa pengguna korporat lebih suka alternatif yang lebih murah dan mudah digunakan. Itu. Jelas sekali bahawa pengguna korporat juga tidak mengambil berat tentang keselamatan siber. [8]

Berdasarkan perkara di atas, tidaklah menghairankan bahawa vendor cenderung mengabaikan keselamatan siber, dan mematuhi falsafah berikut: “Teruskan membina, terus menjual dan menampal apabila perlu. Adakah sistem ranap? Maklumat hilang? Pangkalan data dengan nombor kad kredit dicuri? Adakah terdapat sebarang kelemahan maut yang dikenal pasti dalam peralatan anda? Tiada masalah!" Pengguna, sebaliknya, perlu mengikut prinsip: "Tampal dan berdoa." [7] ulang tahun ke-30 ketidakamanan yang berleluasa

Bagaimana ini berlaku: contoh dari alam liar

Contoh ketara pengabaian keselamatan siber semasa pembangunan ialah program insentif korporat Microsoft: “Jika anda terlepas tarikh akhir, anda akan didenda. Jika anda tidak mempunyai masa untuk menyerahkan keluaran inovasi anda tepat pada masanya, ia tidak akan dilaksanakan. Jika ia tidak dilaksanakan, anda tidak akan menerima saham syarikat (sekeping pai daripada keuntungan Microsoft)." Sejak 1993, Microsoft mula aktif menghubungkan produknya ke Internet. Memandangkan inisiatif ini beroperasi sejajar dengan program motivasi yang sama, fungsi berkembang lebih pantas daripada pertahanan dapat bersaing dengannya. Untuk menggembirakan pemburu kelemahan pragmatik... [7]

Contoh lain ialah situasi dengan komputer dan komputer riba: mereka tidak disertakan dengan antivirus yang telah dipasang sebelumnya; dan mereka juga tidak menyediakan pratetap kata laluan yang kukuh. Adalah diandaikan bahawa pengguna akhir akan memasang antivirus dan menetapkan parameter konfigurasi keselamatan. [1]

Satu lagi, contoh yang lebih ekstrem: situasi dengan keselamatan siber peralatan runcit (daftar tunai, terminal PoS untuk pusat membeli-belah, dll.). Kebetulan vendor peralatan komersil hanya menjual apa yang dijual, dan bukan apa yang selamat. [2] Jika terdapat satu perkara yang vendor peralatan komersil mengambil berat dari segi keselamatan siber, ia memastikan bahawa jika insiden kontroversi berlaku, tanggungjawab itu jatuh ke atas orang lain. [3]

Contoh indikatif perkembangan peristiwa ini: mempopularkan standard EMV untuk kad bank, yang, terima kasih kepada kerja pemasar bank yang cekap, muncul di mata orang ramai yang tidak canggih secara teknikal sebagai alternatif yang lebih selamat daripada "ketinggalan zaman" kad magnet. Pada masa yang sama, motivasi utama industri perbankan, yang bertanggungjawab untuk membangunkan piawaian EMV, adalah untuk mengalihkan tanggungjawab untuk insiden penipuan (berlaku akibat kesalahan pembuat kad) - daripada kedai kepada pengguna. Sedangkan sebelum ini (apabila pembayaran dibuat menggunakan kad magnetik), tanggungjawab kewangan terletak pada kedai untuk percanggahan dalam debit/kredit. [3] Justeru bank yang memproses pembayaran mengalihkan tanggungjawab sama ada kepada peniaga (yang menggunakan sistem perbankan jauh mereka) atau kepada bank yang mengeluarkan kad pembayaran; dua yang terakhir, seterusnya, mengalihkan tanggungjawab kepada pemegang kad. [2]

Penjual menghalang keselamatan siber

Apabila permukaan serangan digital berkembang dengan tidak dapat dielakkan—berkat ledakan peranti yang disambungkan ke Internet—menjejaki perkara yang disambungkan ke rangkaian korporat menjadi semakin sukar. Pada masa yang sama, vendor mengalihkan kebimbangan tentang keselamatan semua peralatan yang disambungkan ke Internet kepada pengguna akhir [1]: "Menyelamatkan orang yang lemas adalah kerja orang yang lemas itu sendiri."

Bukan sahaja vendor tidak mengambil berat tentang keselamatan siber ciptaan mereka, tetapi dalam beberapa kes mereka juga mengganggu penyediaannya. Sebagai contoh, apabila pada tahun 2009 cacing rangkaian Conficker bocor ke Pusat Perubatan Beth Israel dan menjangkiti sebahagian daripada peralatan perubatan di sana, pengarah teknikal pusat perubatan ini, untuk mengelakkan kejadian serupa daripada berlaku pada masa hadapan, memutuskan untuk melumpuhkan fungsi sokongan operasi pada peralatan yang terjejas oleh cacing dengan rangkaian. Bagaimanapun, dia berhadapan dengan hakikat bahawa "peralatan itu tidak dapat dikemas kini kerana sekatan peraturan." Dia memerlukan usaha yang besar untuk berunding dengan vendor untuk melumpuhkan fungsi rangkaian. [4]

Siber-Ketidakselamatan Asas Internet

David Clarke, profesor lagenda MIT yang geniusnya menjadikannya nama samaran "Albus Dumbledore," mengingati hari sisi gelap Internet didedahkan kepada dunia. Clark mempengerusikan persidangan telekomunikasi pada November 1988 apabila berita tersebar bahawa cecacing komputer pertama dalam sejarah telah merayap melalui wayar rangkaian. Clark mengingati detik ini kerana penceramah yang hadir di persidangannya (seorang pekerja salah sebuah syarikat telekomunikasi terkemuka) bertanggungjawab atas penyebaran cacing ini. Penceramah ini, dalam kepanasan emosi, secara tidak sengaja berkata: "Inilah!" Saya nampaknya telah menutup kelemahan ini,” dia membayar untuk kata-kata ini. [5]

ulang tahun ke-30 ketidakamanan yang berleluasa

Walau bagaimanapun, ia kemudiannya ternyata bahawa kelemahan melalui mana cacing yang disebutkan itu merebak bukanlah merit mana-mana individu. Dan ini, secara tegasnya, bukanlah kelemahan, tetapi ciri asas Internet: pengasas Internet, semasa membangunkan idea mereka, memberi tumpuan secara eksklusif pada kelajuan pemindahan data dan toleransi kesalahan. Mereka tidak menetapkan sendiri tugas untuk memastikan keselamatan siber. [5]

Hari ini, beberapa dekad selepas penubuhan Internet—dengan ratusan bilion dolar telah dibelanjakan untuk percubaan sia-sia terhadap keselamatan siber—Internet juga terdedah. Masalah keselamatan sibernya semakin teruk setiap tahun. Walau bagaimanapun, adakah kita mempunyai hak untuk mengutuk pengasas Internet untuk perkara ini? Lagipun, sebagai contoh, tiada siapa yang akan mengutuk pembina lebuh raya kerana fakta bahawa kemalangan berlaku di "jalan raya mereka"; dan tiada siapa yang akan mengutuk perancang bandar kerana fakta bahawa rompakan berlaku di "bandar mereka." [5]

Bagaimana subkultur penggodam dilahirkan

Subkultur penggodam berasal pada awal 1960-an, dalam "Kelab Pemodelan Teknikal Kereta Api" (beroperasi di dalam dinding Institut Teknologi Massachusetts). Peminat kelab mereka bentuk dan memasang model kereta api, sangat besar sehingga memenuhi seluruh bilik. Ahli kelab secara spontan dibahagikan kepada dua kumpulan: pendamai dan pakar sistem. [6]

Yang pertama bekerja dengan bahagian atas tanah model, yang kedua - dengan bawah tanah. Yang pertama mengumpul dan menghias model kereta api dan bandar: mereka memodelkan seluruh dunia dalam bentuk mini. Yang terakhir bekerja pada sokongan teknikal untuk semua perdamaian ini: kerumitan wayar, relay dan suis koordinat yang terletak di bahagian bawah tanah model - segala-galanya yang mengawal bahagian "atas" dan memberinya tenaga. [6]

Apabila terdapat masalah lalu lintas dan seseorang menghasilkan penyelesaian baharu dan bijak untuk membetulkannya, penyelesaian itu dipanggil "godam". Bagi ahli kelab, pencarian untuk hacks baharu telah menjadi makna intrinsik dalam kehidupan. Itulah sebabnya mereka mula memanggil diri mereka "penggodam." [6]

Generasi pertama penggodam melaksanakan kemahiran yang diperoleh di Kelab Kereta Api Simulasi dengan menulis program komputer pada kad tebuk. Kemudian, apabila ARPANET (pendahulu kepada Internet) tiba di kampus pada tahun 1969, penggodam menjadi pengguna yang paling aktif dan mahir. [6]

Kini, beberapa dekad kemudian, Internet moden menyerupai bahagian "bawah tanah" model kereta api itu. Kerana pengasasnya adalah penggodam yang sama, pelajar "Kelab Simulasi Kereta Api". Hanya penggodam kini mengendalikan bandar sebenar dan bukannya miniatur simulasi. [6] ulang tahun ke-30 ketidakamanan yang berleluasa

Bagaimana penghalaan BGP berlaku

Menjelang akhir tahun 80-an, hasil daripada peningkatan seperti runtuhan salji dalam bilangan peranti yang disambungkan ke Internet, Internet menghampiri had matematik keras yang dibina ke dalam salah satu protokol Internet asas. Oleh itu, sebarang perbualan antara jurutera pada masa itu akhirnya bertukar menjadi perbincangan tentang masalah ini. Dua rakan tidak terkecuali: Jacob Rechter (seorang jurutera dari IBM) dan Kirk Lockheed (pengasas Cisco). Setelah bertemu secara kebetulan di meja makan, mereka mula membincangkan langkah-langkah untuk mengekalkan fungsi Internet. Rakan-rakan menulis idea-idea yang timbul pada apa sahaja yang datang - serbet yang diwarnai dengan sos tomato. Kemudian yang kedua. Kemudian yang ketiga. “Protokol tiga tuala,” sebagaimana yang disebut oleh penciptanya secara berseloroh—dikenali dalam kalangan rasmi sebagai BGP (Protokol Gerbang Sempadan)—tidak lama kemudian merevolusikan Internet. [8] ulang tahun ke-30 ketidakamanan yang berleluasa

Bagi Rechter dan Lockheed, BGP hanyalah penggodaman biasa, dibangunkan dalam semangat Kelab Kereta Api Model yang disebutkan di atas, penyelesaian sementara yang akan diganti tidak lama lagi. Rakan-rakan membangunkan BGP pada tahun 1989. Walau bagaimanapun, hari ini, 30 tahun kemudian, majoriti trafik Internet masih dihalakan menggunakan "protokol tiga serbet" - walaupun panggilan yang semakin membimbangkan tentang masalah kritikal dengan keselamatan sibernya. Godam sementara menjadi salah satu protokol Internet asas, dan pembangunnya belajar daripada pengalaman mereka sendiri bahawa "tidak ada yang lebih kekal daripada penyelesaian sementara." [8]

Rangkaian di seluruh dunia telah bertukar kepada BGP. Vendor yang berpengaruh, pelanggan kaya dan syarikat telekomunikasi dengan cepat jatuh cinta dengan BGP dan terbiasa dengannya. Oleh itu, walaupun semakin banyak loceng penggera tentang ketidakselamatan protokol ini, orang awam IT masih tidak menunjukkan semangat untuk peralihan kepada peralatan baharu yang lebih selamat. [8]

Penghalaan BGP yang tidak selamat siber

Mengapa penghalaan BGP begitu baik dan mengapa komuniti IT tidak tergesa-gesa untuk meninggalkannya? BGP membantu penghala membuat keputusan tentang tempat untuk menghalakan aliran data yang besar yang dihantar merentasi rangkaian besar talian komunikasi yang bersilang. BGP membantu penghala memilih laluan yang sesuai walaupun rangkaian sentiasa berubah dan laluan popular sering mengalami kesesakan lalu lintas. Masalahnya ialah Internet tidak mempunyai peta penghalaan global. Penghala yang menggunakan BGP membuat keputusan tentang memilih satu laluan atau yang lain berdasarkan maklumat yang diterima daripada jiran di alam siber, yang seterusnya mengumpul maklumat daripada jiran mereka, dsb. Walau bagaimanapun, maklumat ini boleh dipalsukan dengan mudah, yang bermaksud penghalaan BGP sangat terdedah kepada serangan MiTM. [8]

Oleh itu, soalan seperti berikut selalu timbul: "Mengapa lalu lintas antara dua komputer di Denver mengambil lencongan gergasi melalui Iceland?", "Mengapa data Pentagon terperingkat pernah dipindahkan dalam transit melalui Beijing?" Terdapat jawapan teknikal untuk soalan seperti ini, tetapi semuanya datang kepada fakta bahawa BGP berfungsi berdasarkan kepercayaan: kepercayaan terhadap cadangan yang diterima daripada penghala jiran. Terima kasih kepada sifat mempercayai protokol BGP, tuan trafik yang misterius boleh memikat aliran data orang lain ke dalam domain mereka jika mereka mahu. [8]

Contoh hidup ialah serangan BGP China ke atas Pentagon Amerika. Pada April 2010, gergasi telekom milik negara China Telecom menghantar puluhan ribu penghala ke seluruh dunia, termasuk 16 di Amerika Syarikat, mesej BGP memberitahu mereka bahawa mereka mempunyai laluan yang lebih baik. Tanpa sistem yang boleh mengesahkan kesahihan mesej BGP daripada China Telecom, penghala di seluruh dunia mula menghantar data dalam transit melalui Beijing. Termasuk trafik dari Pentagon dan tapak lain Jabatan Pertahanan AS. Kemudahan trafik dihalakan semula dan kekurangan perlindungan berkesan terhadap jenis serangan ini merupakan satu lagi tanda ketidakselamatan penghalaan BGP. [8]

Protokol BGP secara teorinya terdedah kepada serangan siber yang lebih berbahaya. Sekiranya konflik antarabangsa meningkat secara berkuat kuasa sepenuhnya di ruang siber, China Telecom, atau beberapa gergasi telekomunikasi lain, boleh cuba menuntut pemilikan bahagian Internet yang sebenarnya bukan miliknya. Tindakan sedemikian akan mengelirukan penghala, yang perlu melantun antara bidaan bersaing untuk blok alamat Internet yang sama. Tanpa keupayaan untuk membezakan aplikasi yang sah daripada yang palsu, penghala akan mula bertindak secara tidak menentu. Akibatnya, kita akan berhadapan dengan Internet yang setara dengan perang nuklear—pameran permusuhan yang terbuka dan berskala besar. Perkembangan sebegitu pada masa yang relatif aman nampaknya tidak realistik, tetapi secara teknikal ia agak boleh dilaksanakan. [8]

Percubaan sia-sia untuk beralih dari BGP ke BGPSEC

Keselamatan siber tidak diambil kira semasa BGP dibangunkan, kerana pada masa itu penggodaman jarang berlaku dan kerosakan daripadanya adalah kecil. Pemaju BGP, kerana mereka bekerja untuk syarikat telekomunikasi dan berminat untuk menjual peralatan rangkaian mereka, mempunyai tugas yang lebih mendesak: untuk mengelakkan kerosakan spontan Internet. Kerana gangguan dalam Internet boleh mengasingkan pengguna, dan dengan itu mengurangkan jualan peralatan rangkaian. [8]

Selepas insiden dengan penghantaran trafik tentera Amerika melalui Beijing pada April 2010, langkah kerja untuk memastikan keselamatan siber penghalaan BGP pastinya dipercepatkan. Walau bagaimanapun, vendor telekom telah menunjukkan sedikit semangat untuk menanggung kos yang berkaitan dengan berhijrah ke protokol penghalaan selamat baharu BGPSEC, yang dicadangkan sebagai pengganti BGP yang tidak selamat. Penjual masih menganggap BGP agak boleh diterima, walaupun terdapat banyak insiden pemintasan lalu lintas. [8]

Radia Perlman, digelar "Ibu Internet" kerana mencipta satu lagi protokol rangkaian utama pada tahun 1988 (setahun sebelum BGP), memperoleh ijazah kedoktoran kenabian di MIT. Perlman meramalkan bahawa protokol penghalaan yang bergantung kepada kejujuran jiran di alam siber pada asasnya tidak selamat. Perlman menganjurkan penggunaan kriptografi, yang akan membantu mengehadkan kemungkinan pemalsuan. Walau bagaimanapun, pelaksanaan BGP sudah berjalan lancar, komuniti IT yang berpengaruh sudah terbiasa dengannya, dan tidak mahu mengubah apa-apa. Oleh itu, selepas amaran beralasan daripada Perlman, Clark dan beberapa pakar dunia terkemuka yang lain, bahagian relatif penghalaan BGP selamat secara kriptografi tidak meningkat sama sekali, dan masih 0%. [8]

Penghalaan BGP bukan satu-satunya penggodaman

Dan penghalaan BGP bukanlah satu-satunya penggodaman yang mengesahkan idea bahawa "tidak ada yang lebih kekal daripada penyelesaian sementara." Kadang-kadang Internet, membenamkan kita dalam dunia fantasi, kelihatan elegan seperti kereta lumba. Walau bagaimanapun, pada hakikatnya, disebabkan oleh godam yang bertimbun di atas satu sama lain, Internet lebih seperti Frankenstein daripada Ferrari. Kerana penggodaman ini (lebih rasmi dipanggil patch) tidak pernah digantikan oleh teknologi yang boleh dipercayai. Akibat daripada pendekatan ini adalah mengerikan: setiap hari dan setiap jam, penjenayah siber menggodam sistem yang terdedah, mengembangkan skop jenayah siber kepada perkadaran yang tidak dapat dibayangkan sebelum ini. [8]

Banyak kelemahan yang dieksploitasi oleh penjenayah siber telah diketahui sejak sekian lama, dan telah dipelihara semata-mata disebabkan oleh kecenderungan komuniti IT untuk menyelesaikan masalah yang timbul - dengan penggodaman/tampalan sementara. Kadangkala, disebabkan ini, teknologi lapuk bertimbun di atas satu sama lain untuk masa yang lama, menyukarkan kehidupan orang ramai dan meletakkan mereka dalam bahaya. Apakah yang anda fikirkan jika anda mengetahui bahawa bank anda sedang membina bilik kebalnya di atas asas jerami dan lumpur? Adakah anda akan mempercayai dia untuk menyimpan wang simpanan anda? [8] ulang tahun ke-30 ketidakamanan yang berleluasa

Sikap riang Linus Torvalds

Ia mengambil masa bertahun-tahun sebelum Internet mencapai seratus komputer pertamanya. Hari ini, 100 komputer baharu dan peranti lain disambungkan kepadanya setiap saat. Apabila peranti yang disambungkan ke Internet meletup, begitu juga dengan isu keselamatan siber yang mendesak. Walau bagaimanapun, orang yang boleh memberi impak terbesar dalam menyelesaikan masalah ini ialah orang yang memandang rendah keselamatan siber. Lelaki ini telah dipanggil genius, pembuli, pemimpin rohani dan diktator yang baik hati. Linus Torvalds. Sebilangan besar peranti yang disambungkan ke Internet menjalankan sistem pengendaliannya, Linux. Pantas, fleksibel, percuma - Linux menjadi semakin popular dari semasa ke semasa. Pada masa yang sama, ia berkelakuan sangat stabil. Dan ia boleh berfungsi tanpa but semula selama bertahun-tahun. Inilah sebabnya mengapa Linux mendapat penghormatan sebagai sistem pengendalian yang dominan. Hampir semua peralatan berkomputer yang tersedia untuk kami hari ini menjalankan Linux: pelayan, peralatan perubatan, komputer penerbangan, dron kecil, pesawat tentera dan banyak lagi. [9]

Linux berjaya sebahagian besarnya kerana Torvalds menekankan prestasi dan toleransi kesalahan. Bagaimanapun, beliau meletakkan penekanan ini dengan mengorbankan keselamatan siber. Walaupun ruang siber dan dunia fizikal sebenar saling berkait dan keselamatan siber menjadi isu global, Torvalds terus menentang untuk memperkenalkan inovasi selamat ke dalam sistem pengendaliannya. [9]

Oleh itu, walaupun di kalangan ramai peminat Linux, terdapat kebimbangan yang semakin meningkat tentang kelemahan sistem pengendalian ini. Khususnya, bahagian paling intim Linux, kernelnya, yang Torvalds berfungsi secara peribadi. Peminat Linux melihat bahawa Torvalds tidak mengambil serius isu keselamatan siber. Lebih-lebih lagi, Torvalds telah mengelilingi dirinya dengan pembangun yang berkongsi sikap sambil lewa ini. Jika seseorang daripada kalangan dalaman Torvalds mula bercakap tentang memperkenalkan inovasi yang selamat, dia serta-merta dikutuk. Torvalds menolak satu kumpulan inovator sedemikian, memanggil mereka "monyet melancap." Semasa Torvalds mengucapkan selamat tinggal kepada kumpulan pembangun yang mementingkan keselamatan yang lain, dia berkata kepada mereka, “Adakah anda begitu baik untuk membunuh diri anda. Dunia akan menjadi tempat yang lebih baik kerana itu.” Setiap kali ia datang untuk menambah ciri keselamatan, Torvalds sentiasa menentangnya. [9] Torvalds bahkan mempunyai falsafah keseluruhan dalam hal ini, yang bukan tanpa sebutir akal sehat:

“Keselamatan mutlak tidak dapat dicapai. Oleh itu, ia harus sentiasa dipertimbangkan hanya berkaitan dengan keutamaan lain: kelajuan, fleksibiliti dan kemudahan penggunaan. Orang yang mengabdikan diri sepenuhnya untuk memberikan perlindungan adalah gila. Pemikiran mereka terhad, hitam dan putih. Keselamatan dengan sendirinya tidak berguna. Intipati sentiasa berada di tempat lain. Oleh itu, anda tidak boleh memastikan keselamatan mutlak, walaupun anda benar-benar mahu. Sudah tentu, terdapat orang yang memberi perhatian lebih kepada keselamatan daripada Torvalds. Walau bagaimanapun, mereka ini hanya mengusahakan perkara yang menarik minat mereka dan menyediakan keselamatan dalam rangka kerja relatif sempit yang menggambarkan minat ini. Tiada lagi. Jadi mereka sama sekali tidak menyumbang kepada peningkatan keselamatan mutlak.” [9]

Bar sisi: OpenSource adalah seperti tong serbuk [10]

Kod OpenSource telah menjimatkan berbilion-bilion kos pembangunan perisian, menghapuskan keperluan untuk usaha pendua: dengan OpenSource, pengaturcara mempunyai peluang untuk menggunakan inovasi semasa tanpa sekatan atau bayaran. OpenSource digunakan di mana-mana sahaja. Walaupun anda mengupah pembangun perisian untuk menyelesaikan masalah khusus anda dari awal, pembangun ini kemungkinan besar akan menggunakan beberapa jenis perpustakaan OpenSource. Dan mungkin lebih daripada satu. Oleh itu, elemen OpenSource hadir hampir di mana-mana. Pada masa yang sama, perlu difahami bahawa tiada perisian yang statik; kodnya sentiasa berubah. Oleh itu, prinsip "tetapkan dan lupakannya" tidak pernah berfungsi untuk kod. Termasuk kod OpenSource: lambat laun versi yang dikemas kini akan diperlukan.

Pada tahun 2016, kami melihat akibat daripada keadaan ini: seorang pembangun berusia 28 tahun secara ringkas "memecahkan" Internet dengan memadamkan kod OpenSourcenya, yang sebelum ini dia sediakan untuk umum. Kisah ini menunjukkan bahawa infrastruktur siber kami sangat rapuh. Sesetengah orang - yang menyokong projek OpenSource - sangat penting untuk mengekalkannya sehinggakan, jika Allah melarang, mereka dilanggar bas, Internet akan rosak.

Kod yang sukar dikekalkan ialah tempat kelemahan keselamatan siber yang paling serius bersembunyi. Sesetengah syarikat tidak menyedari betapa terdedahnya mereka kerana kod yang sukar diselenggara. Kerentanan yang dikaitkan dengan kod sedemikian boleh menjadi masalah sebenar dengan perlahan: sistem perlahan-lahan reput, tanpa menunjukkan kegagalan yang boleh dilihat dalam proses reput. Dan apabila mereka gagal, akibatnya membawa maut.

Akhir sekali, memandangkan projek OpenSource biasanya dibangunkan oleh komuniti peminat, seperti Linus Torvalds atau seperti penggodam dari Model Railroad Club yang disebut pada permulaan artikel, masalah dengan kod yang sukar diselenggara tidak dapat diselesaikan dengan cara tradisional (menggunakan tuas komersial dan kerajaan). Kerana ahli komuniti sebegitu sengaja dan menghargai kemerdekaan mereka di atas segalanya.

Bar sisi: Mungkin perkhidmatan perisikan dan pembangun antivirus akan melindungi kami?

Pada tahun 2013, diketahui bahawa Kaspersky Lab mempunyai unit khas yang menjalankan penyiasatan tersuai mengenai insiden keselamatan maklumat. Sehingga baru-baru ini, jabatan ini diketuai oleh bekas major polis, Ruslan Stoyanov, yang sebelum ini bekerja di Jabatan "K" ibu negara (USTM Direktorat Hal Ehwal Dalam Negeri Moscow). Semua pekerja unit khas Kaspersky Lab ini datang daripada agensi penguatkuasaan undang-undang, termasuk Jawatankuasa Penyiasatan dan Direktorat "K". [sebelas]

Pada akhir tahun 2016, FSB menangkap Ruslan Stoyanov dan mendakwanya dengan pengkhianatan. Dalam kes yang sama, Sergei Mikhailov, wakil berpangkat tinggi FSB CIB (pusat keselamatan maklumat), telah ditangkap, yang sebelum penangkapan itu, seluruh keselamatan siber negara itu terikat. [sebelas]

Bar sisi: Keselamatan Siber Dikuatkuasakan

Tidak lama lagi usahawan Rusia akan terpaksa memberi perhatian serius kepada keselamatan siber. Pada Januari 2017, Nikolai Murashov, wakil Pusat Perlindungan Maklumat dan Komunikasi Khas, menyatakan bahawa di Rusia, objek CII (infrastruktur maklumat kritikal) sahaja telah diserang lebih daripada 2016 juta kali pada 70. Objek CII termasuk sistem maklumat agensi kerajaan, perusahaan industri pertahanan, pengangkutan, sektor kredit dan kewangan, tenaga, bahan api dan industri nuklear. Untuk melindungi mereka, pada 26 Julai, Presiden Rusia Vladimir Putin menandatangani pakej undang-undang "Mengenai keselamatan CII." Menjelang 1 Januari 2018, apabila undang-undang berkuat kuasa, pemilik kemudahan CII mesti melaksanakan satu set langkah untuk melindungi infrastruktur mereka daripada serangan penggodam, khususnya, menyambung ke GosSOPKA. [12]

Bibliografi

  1. Jonathan Millet. IoT: Kepentingan Melindungi Peranti Pintar Anda // 2017.
  2. Ross Anderson. Bagaimana sistem pembayaran kad pintar gagal // Black Hat. 2014.
  3. SJ Murdoch. Cip dan PIN Rosak // Prosiding Simposium IEEE mengenai Keselamatan dan Privasi. 2010. hlm. 433-446.
  4. David Talbot. Virus Komputer "Berleluasa" pada Peranti Perubatan di Hospital // Kajian Teknologi MIT (Digital). 2012.
  5. Craig Timberg. Bersih Ketidakamanan: Aliran dalam Reka Bentuk // The Washington Post. 2015.
  6. Michael Lista. Dia adalah seorang penggodam remaja yang membelanjakan berjuta-jutanya untuk kereta, pakaian dan jam tangan—sehingga FBI menangkap // Kehidupan Toronto. 2018.
  7. Craig Timberg. Bersih Ketidakamanan: Bencana Diramalkan – dan Diabaikan // The Washington Post. 2015.
  8. Craig Timberg. Jangka hayat yang panjang untuk 'pembetulan' pantas: Protokol Internet dari 1989 menyebabkan data terdedah kepada perampas // The Washington Post. 2015.
  9. Craig Timberg. Bersih Ketidakamanan: Inti hujah // The Washington Post. 2015.
  10. Joshua Gans. Bolehkah Kod Sumber Terbuka Menjadikan Ketakutan Y2K Kami Akhirnya Menjadi Kenyataan? // Kajian Perniagaan Harvard (Digital). 2017.
  11. Pengurus tertinggi Kaspersky ditangkap oleh FSB // CNews. 2017. URL.
  12. Maria Kolomychenko. Perkhidmatan perisikan siber: Sberbank mencadangkan mewujudkan ibu pejabat untuk memerangi penggodam // RBC. 2017.

Sumber: www.habr.com

Tambah komen